发布时间:2019-10-15 10:38:33,来源:中国信息通信研究院
一、基本情况
TeamViewer疑似遭遇APT组织攻击,黑客组织APT41破坏了TeamViewer背后的公司,使他们能够访问安装了TeamViewer的任何系统。
该事件中,恶意软件启动TeamViewer后,其会获取TeamViewer窗口的用户ID(leon)以及密码(vivi),并将主机名+ “|” + 用户名(well),以及固定的一串VPD开头的值(vip),构造成数据包的主要内容。当攻击者获取到受害者的TeamViewer账号和密码后,其就会进行回连以便控制受害者电脑并进行进一步操作。
安装了TeamViewer的任何系统
1) 自查方式 (以TeamViewer 14为例)
(1)在TeamViewer安装目录中(默认:C:\program Files(x86)\TeamViewer) 下打开TeamViewer14_Logfile文件;
(2)在记事本中,点击“编辑”-“查找”,输入关键字“Writefile"(区分大小写)查看是否存在文件传输操作;
(3)打开TeamViewer14_Logfile_OLD.log文件,重复步骤(2)操作。
如果上述过程中发现存在相应关键字的内容,且相应时间节点本人未进行上述操作,请立即卸载。
2) 处置方式
在官方确认清除后门前,为保证安全,建议暂时卸载TeamViewer软件。
1) https://mp.weixin.qq.com/s/rZIbOynGCvwy7cnsL_kaKg